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(57) Die vorliegende Erfindung beschreibt ein Ver- 
fahren zum Online-Update sicherheitskritischer Soft- 
ware in der Eisenbahn-Signaltechnik und dient 
insbesondere dem Einbringen von Produktsoftware in 
Zielrechner von Anlagen. Das erfindungsgemaBe Ver- 
fahren basiert darauf, daB jeder Teilnehmer einen 
Offentlichen und einen geheimen Schlussel erhalt, von 
den Teilnehmern eine Zertifizierungsinstanz zur 
Beglaubigung der ZugehOrigkeit der Schlussel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, jeder 
Teilnehmer sein eigenes Schlusselzertifikat und das 
Zertifikat der Zertifizierungsinstanz erhalt, jeder an der 
Erstellung und Prufung der Produktsoftware beteiligte 
Teilnehmer die Produktsoftware und die bisherigen 
Unterschriften mit seinem geheimen Schlussel urtter- 
schreibt und gemeinsam mit seinem eigenen Schlussei- 
zertifikat werterleitet, die Zertifizierungsinstanz fur jeden 
Anwendungsfall eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verkette- 
ten Unterschriftenliste und der Uste der Schlusselzerti- 
fikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Verfahren zum Online-Update sicherheitskritischer Software in der 
Eisenbahn-Signaltechnik und dient insbesondere dem Einbringen von Produktsoftware in Zielrechner von Anlagen. 
[0002] Neue Echtzeit-Betriebssysteme bieten weitreichende Debugging- oder Software-Upgrade-Optionen, wah- 
rend das eigentiiche System lauft (sog. running target), urn eine hone Verfugbarkeit zu garantieren (sog. non-stop real- 
time systems). Im Prinzip sind diese Wartungsarbeiten auch online, z. B. uber das Internet oder ahnliche offene Nez- 
werke mdglich, ohne daB ein Techniker vor Ort ist. Dies ist vor allem in hochgradig verteilten Systemen ein enormer 
Vorteil. 

[0003] Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherheitsknti- 
sche Anwendungen in der Eisenbahn-Signaltechnik nicht nutzbar, da nicht gararrtiert werden kann, daB die einge- 
brachte Produkt-Software authentisch ist, d. h. von dem behaupteten Absender stammt und nicht manipuliert wurde 
und die Produkt-Software nach den geltenden Vorschrrften gepruft ist. 

[0004] Unter dem Oberbegriff Produktsoftware wird hier sowohl Systemsoftware als audi Anwendersoftware oder 
Anlagen-Projektierungsdaten verstanden. 

[0005] Bekannt ist, die Produkt-Software nach Vbrliegen (manuell unterschriebener) Prufberichte uber vorab in der 
Fertigung programmierte Speicherbaugruppen von Hand in das sicherheitskritische System einzubringen. Dieser Pro- 
zeB soil mittelsder beschriebenen Erfindung digrtalisiert werden, d. h. die Produkt-Software wird von den Prufern digital 
signiert und uber ein offenes Netz in das sicherheitskritische System eingebracht. Der Zielrechner pruft die Signaturen 
automatisch auf Echthert und Zuiassigkeit. 

[0006] Werterhin sind aus der EP 0 816 970 A2 ein Verfahren und eine Vorrichtung bekannt, mit welchen die 
Authentizitat von Firmware gepruft werden kann. Es wird gepruft, ob spezif ische Signaturen zu Mikrokodierungen pas- 
sen. Nachteilig bei dieser LOsung ist daB der Offentliche Schlussel in der Anlage fest installiert ist und keine Uberpru- 
fung der Prufberechtigungen erfolgt. 

[0007] Urn die Authentizitat bei Ubertragung von Daten uber offene Netze zu gewahrleisten, ist seit langerem die 
Verwendung von kryptographischen Methoden bekannt. Hierbei ist sowohl eine symmetrische als auch eine asymme- 
trische VerschlQsselung mdglich. 

[0008] Bei der asymmetrischen VerschlQsselung existiert im Gegensatz zur symmetrischen VerschlQsselung nicht 
nur ein einzelner Schlussel, der alien Partnern bekannt ist. sondern ein Schlusselpaar. Dieses Schlusselpaar besteht 
aus einem sogenannten Offerrtlichen und einem privaten Schlussel, wobei der Offentliche Schlussel fur jedermann 
zugdngltch sein muB. 

[0009] Der Erfindung liegt die Aufgabe zugrunde. ein Verfahren zum Online-Update sicherheitskritischer Software 
in der Eisenbahn-Signaltechnik zu schaffen, welches mit einfachen Mitteln ein effektives Zusammenwirken mehrerer 
Teilnehmer bei der Erarbeitung und Prufung von Produktsoftware sowie ein sicheres Einbringen dieser Produktsoft- 
ware in die Zielrechner auch uber ungesicherte Kommunikationskanaie ermOglicht. 

[001 0] Diese Aufgabe wird erf indungsgemaB geiast durch die Merkmale im kennzeichnenden Teil des Anspruches 
1 im Zusammenwirken mit den Merkmalen im Oberbegriff. ZweckmaBige Ausgestaltungen der Erfindung sind in den 
Unteranspruchen enthalten. 

[001 1 ] Ein besonderer Vorteil der Erfindung besteht darin. daB eine sichere Erarbeitung, Ubertragung und Einspei- 
sung der Produktsoftware in einen Zielrechner unter Mitwirkung mehrerer Teilnehmer ermOglicht wird, indem jeder Teil- 
nehmer einen Offerrtlichen und einen geheimen Schlussel erhait. von den Teilnehmern eine Zertif izierungsinstanz zur 
Beglaubigung der ZugehOrigkeit der Schlussel zu den Teilnehmern mit einem Zertif ikat bestimmt wird, jeder Teilnehmer 
sein eigenes Schlusselzertif ikat und das Zertifikat der Zertif izierungsinstanz erhait, jeder an der Erstellung und Prufung 
der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die bisher geleisteten Unterschriften mit seinem 
geheimem Schlussel unterschreibt und gemeinsam mit seinem eigenen Schlusselzertifikat weiterleitet, die Zertifizie- 
rungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und die Produktsoftware zusammen mit 
einer verketteten Unterschriftenliste und der Liste der Schlusselzertif ikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 

[001 2] Ein weiterer Vorteil der Erfindung besteht darin, daB die Produktsoftware auch uber ungesicherte Kommu- 
nikationskanaie Obertragen werden kann. 

[0013] GemaB der vorliegenden Erfindung werden asymmetrische Verschlusselungsverfahren verwendet. Jeder 
Teilnehmer x verfugt uber zwei Schlussel. namlich einen effentlichen Schlussel P x und einen geheimen Schlussel S X - 
Der geheime Schlussel ist durch geeignete organisatorische MaBnahmen (zum Beispiel Passwort. Spetcherung auf 
Chipkarte etc.) vor MiBbrauch gesichert. 

[0014] Offentliche Schlussel sind in der Regel jedem Teilnehmer zuganglich, auf einen geheimen Schlussel darf 
nur ein Teilnehmer Zugriff haben. Mit seinem geheimen Schlussel kann der Teilnehmer Datensatze digital unterschrei- 
ben (Operation Sigx) oder mit seinem Offentlichen Schlussel verschlusselte Datensatze entschlusseln (Operation 
Decx). Jeder Teilnehmer, der im Besrtz des zugehdrigen Wentlichen Schlussels ist. kann von x signierte, fur ihn 
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bestimmte Datensatze verifizieren (Operation Ver x ) Oder x verschlusselte Nachrichten senden (Operation Encx). Das 
genaue asymmetrische Verfahren ist dabei egal, im Prinzip kann jedes aus dem Stand der Technik bekannte Verfahren 
verwendet werden, 

[0015] Die Erf induing soli nachstehend anhand von zumindest teilweise in den Figuren dargestellten Ausfuhrungs- 
beispielen naher eriautert werden. 
[0016] Eszeigen: 

Fig. 1 eine schematische Darstellung des Zusammenwirkens von Teilnehmern mit einer ZulassungsbehSrde; 
Fig. 2 einen Programrnablaufplan fur die Prufung der Produktsoftware 

[0017] Wie in Figur 1 dargestellt, wird unter den Teilnehmern ein besonders vertrauenswurdiger Teilnehmer Z, die 
sogenannte Zertif izierungsinstanz, bestimmt. Als Zertifizierungsinstanz wird im voriiegenden Ausfuhrungsbeispiel eine 
ZulassungsbehOrde eingesetzt, in Deutschland fQr die Eisenbahn-Signaltechnik z.B. das Eisenbahnbundesamt, Oder 
eine andere vertrauenswurdige Instanz. Dieser Teilnehmer zertifiziert, d. h. beglaubigt, daft die Schlussel der einzelnen 
Teilnehmer wirklich zu den behaupteten Teilnehmern gehOren. Dazu unterschreibt Z digital fur jeden Teilnehmer x des- 
sen dffentlichen Schliissel P x sowie ein Textfeld T x , das Angaben zur Identitat des Teilnehmers, zur Gultigkeitsdauer 
des Zertifikats etc. enthatt. Das Zertifikat besteht also fur jeden Teilnehmer aus P x , T x sowie Sigz(P x . Tx). Die Zertifi- 
zierungsinstanz ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertifikat, das aus P z , T 2 sowie Sig z (P z , Jz) besteht. 
[0018] Im weiteren wird nun ein konkreter Anwendungsfall betrachtet. 

[0019] Die ZulassungsbehOrde Z erzeugt fur jeden Anwendungsfall eine Pruferliste L, in der vermerkt ist, welche 
Prufer welche Produktsoftware und in welcher Prufer-Zusammensetzung prufen durfen. Diese Liste wird ebenfalls von 
der Zulassungsbeh6rde signiert und zusammen mit dem Zertifikat Sig z (L) auf gesichertem Weg in den Zielrechner der 
Anlage eingebracht, also entweder zusammen mit der Produktsoftware Oder als Projektierungsdatum. Zusatzlich sollte 
die Pruferliste auch an die beteiligten Prufer verteilt werden. Alternativ kann sie auch zusammen mit der Produkt-Soft- 
ware ubertragen werden. 

[0020] Jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produkts- 
oftware S und die bisher geleisteten Unterschriften seiner Vorganger in der Prufhierarchie. d.h. der Ersteller E unter- 
schreibt die Produktsoftware S mit Sig E (S), und sendet sie mit der Unterschrift und seinem Schlusselzertif ikat P E , T E 
sowie Sig2(P E . Te) an den Prufer R der die Echtheit der Unterschrift pruft und nach positivem Prufergebnis die Pro- 
duktsoftware S und die letzte Unterschrift Sig E (S) mit Sig P (S, Sig E (S)) unterschreibt und mit seinem Schlusselzertifikat 
P P , T P sowie Sig z (P P , T P ) sowie dem Schlusselzertifikat von E weiterleitet. Die Echtheit der Unterschriften wird durch 
jeden Prufer nach dem in Figur 2 angegebenen Schema gepruft. 

[0021] Dieses Prinzip kann sich noch einige Male wiederholen wie in Figur 2 dargestellt je nachdem wieviele Teil- 
nehmer, d. h. Gutachter, Tester etc. beteiligt sind. Am Ende liegt die Produktsoftware S zusammen mit einer verketteten 
Unterschriftenliste und der Liste der Schlusselzertif ikate der Teilnehmer vor. Dies wird zusammen mit der Pruferliste in 
den Zielrechner ubertragen. 
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Beispiel: Prufplan L=(A, B, C, D. ... K) 
[0022] 
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[0023] In jedem sicheren Rechner der Anlage (Zielrechner) muB neben einer Implementation der kryptographi- 
schen Funktionen der dffentliche Schlussel der Zulassungsbehdrde verfugbar sein. Bei Empfang eines neuen Soft- 
warestandes pruft der sichere Rechner die digitalen Unterschriften der Prufer, die zu diesem Softwarestand gehGren, 
sowie bei erfolgreicher Prufung die Berechtigung der Prufer anhand der Pruferliste. 

[0024] Falls die Produktsoftware uber ungesicherte Kommunikationskanaie ubertragen werden soil Oder verhindert 
werden soil, daB unbefugte Dritte Kenntnis der Produktsoftware erlangen, so muBdie Produktsoftware zusatzlich ver- 
schlusselt werden, und zwar jeweils mit dem Offentlichen Schlussel des Kommunikationspartners. 

Beispiel: 

[0025] Sendet E an P, so wird statt der Produktsoftware S die verschlusselte Fassung Enc P (S) gesendet. P ent- 
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schlusselt diese mit seinem privaten Schlussel und verschtusselt sie mit dem Gffentlichen Schlussel des nachsten Kom- 
munikationspartners. In diesem Fall ist es auch notwendig, jedem Zielrechner ein Schlusselpaar zuzuweisen, da im 
letzten Schritt mit dem Gffentlichen Schlussel des Zielrechners zu verschlusseln ist. 

[0026] Weiterhin sind organisatorische MaBnahmen notwendig, um sicherzustellen, daB die geheimen Schlussel 
5 der Prufer bzw. Zertifizierungsinstanz nicht unberechtigt eingesetzt werden kOnnen (entweder mit PaBwort verschlus- 
sefte Speicherung auf PC Oder Chipkarte) und da8 Software nicht auf anderem Wege, d. h. unter Umgehung der skiz- 
zierten SicherheitsmaBnahmen auf den Zielrechner gebracht werden kann (Firewall-Funktionalitat). 

Patentanspruche 

10 

1. Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik unter Mitwirkung 
mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digital isierter Form vorliegender ver- 
schlusseiter Datensatze, wobei 

75 - jeder Teilnehmer einen Offentlichen und einen geheimen Schlussel erhait, 

von den Teilnehmern eine Zertifizierungsinstanz zur Beglaubigung der ZugehOrigkeit der Schlussel zu den 
Teilnehmern mit einem Zertif ikat bestimmt wird, 

jeder Teilnehmer sein eigenes Schlusselzertifikat und das Zertif ikat der Zertifizierungsinstanz erhait, 
jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die 
20 bisherigen Unterschrrften mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 

Schlusselzertifikat weiterleitet, 

die Zertifizierungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und 

die Produktsoftware zusammen mit einer verketteten Unterschriftenliste und der Uste der Schlusselzertif ikate 

der Teilnehmer sowie der Pruferliste in den Zielrechner eingebracht und endgepruft wird. 

25 

2. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die geheimen Schlussel der Teilnehmer zum digitalen Unterschreiben von Datensatzen und bei Ubertragung 
der Produktsoftware uber ungesicherte tommunikationskanaie zum Entschlusseln verwendet werden. 

30 

3. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die dfferrtlichen Schlussel der Teilnehmer zum Entschlusseln verschlusselter Datensatze oder zum Verif izieren 
signierter Datensatze und bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationskanale zum 
35 Verschlusseln mit dem dfferrtlichen Schlussel des nachsten Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die Zertifizierungsinstanz zur Erstellung der Zertrfikate fur jeden Teilnehmer dessen Gffentlichen Schlussel 
40 sowie ein Textfeld mit Angaben zur Identitat und GQItigkeitsdauer des Zertif ikates unterschreibt. 

5. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB in der Pruferliste vermerkt ist. welcher Teilnehmer welche Produktsoftware und in welcher Zusammensetzung 
45 mit anderen Teilnehmern prufen dart 

6. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB im Zielrechner neben einer Implementation der kryptographischen Funktionen der 6ffentliche Schlussel der 
so Zertifizierungsinstanz verfugbar ist. 

7. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB der Zielrechner bei der Endprufung die digitalen Unterschriften der Teilnehmer sowie die Berechtigung der 
55 Teilnehmer anhand der Pruferliste pruft. 

8. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet 
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da 6 bei Obertragung der Produklsoftware uber ungesicherte Kommunikationswege jedem Zielrechner ein Schlus- 
setpaar zugewiesen wird. 

5 

10 

15 

20 

25 

30 

35 

40 

45 

SO 



BNSDOCID: <EP 0997607A2J_> 



5 



/ 

i 



EP 0 997 807 A2 



Schritt 0. Z autorisiert die Teilnehmer 



3) Zulassungsbehorde Z 
autorisiert Schlijssel und 
Zertifikat durch Unterschrift 





2) sendet P x an Z 



1) Jeder Teilnehmer x erzeugt 
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